Messages

Dann solltest du aber  auch einen Bug-Report mit dem von dir Beobachteten Verhalten aufmachen:
Vorgehensweise:

Öffne:
https://github.com/opnsense/core/issues/new/choose
Wähle ein passendes Issue‑Template (Bug Report, Feature Request).
Beschreibe:

OPNsense‑Version
Reproduktionsschritte
Logs / Screenshots
Erwartetes vs. tatsächliches Verhalten

Die Lösung war bei mir das im "Children" Fenster die Policys nicht angehakt waren, nach dem Anhaken ging es.

Bei den neuen Connections wird  ESP nicht mehr unterstüzt.

Das glaub ich nicht. Da würde meine VPN auch nicht mehr funktionieren.

-> Dann muss ich nochmals schauen.


In der Remote muss auf jeden Fall EAP Radius rein, wenn der Prozess den NPS nutzen soll.
Und in VPN: IPsec: Mobile & Advanced Settings > eap-radius muss dieser ausgewählt werden.
-> Ja ist in VPN: IPsec: Mobile & Advanced Settings > eap-radius eingetragen.

In Remote wird konfiguriert, wie sich der Client beim Server authentifiziert.
In Local, wie sich der Server beim Client authentifiziert.

Ich habe bisher eine legacy IPsec Verbindung, wo sich die User auf Windows-Clients für die VPN Verbindung gegen einen Radius Server authentifizieren. Dieser Radius Server ist ein MS-NPS und holt seine User-Daten aus einem Active Directory.
Radius Server, User und Firerwall kennen und nutzen eine gemeinsamme CA. Die Firerwall hat ein gültiges Server-Certifikat und nutzt in der Phase 1 EAP-Radius und Key-Exchange V2.
Der User baut unter Benutzung seines Users aus dem Active Diretory: domain\Userkennung + Passwort die VPN-Verbindung mit den in Windows Integrierten VPN-Client auf. In Phase 2 wird bei  der legacy Verbindung das ESP Protokoll genutzt.

Bei den neuen Connections wird  ESP nicht mehr unterstüzt. Meine Konfiguration habe ich nach https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#method-1-shared-ip-pool-for-all-roadwarriors aufgebaut und auf die Radius angepasst wo es für mich logisch war.
Zur Authentifizierung nutze ich dabe EAP-Radius und EAP-MSCHAPv2.
Der Windowsclient kann sich mit der Connections Verbindung aber nicht authentifizieren und im Log habe ich Einträge das die halboffene Verbindung beendet wird.
Im Anhang noch ein par Screenshots von meinen Einstellungen. Sieht vieleicht wer, was ich falsch gemacht habe?

Danke erstmal für deine ausführliche Antwort. Der Gedanke, OPNsense auf einer Mini‑Appliance laufen zu lassen, war auch bei mir vorhanden.
Da ich aus der Windows‑Welt komme, habe ich mir überlegt, stattdessen auf Hyper‑V zu setzen. Hintergrund ist, dass ein guter Freund einen Bekannten hat, der seine IT überarbeiten möchte. Aktuell läuft alles gerade so, dass es funktioniert: ein physikalischer Server, ein ungemanagter 24‑Port‑Switch, zehn Clients und zwei Drucker. Die IT soll in den nächsten Monaten modernisiert werden – aus Kostengründen jedoch zunächst nur das Notwendigste:

- Hyper‑V‑Server (neu)
- Veeam Backup
- eventuell Synology DiskStation
- OPNsense als VM
- zwei 24‑Port‑Managed‑Switches (neu)
- zehn Clients, teilweise neu, da einige nicht Windows‑11‑kompatibel sind
- zwei Drucker (bleiben bestehen)

Es handelt sich um einen Handwerksbetrieb. Das Thema Boot‑Zeit und Ausfall nehme ich in Kauf, um die Kosten für ihn gering zu halten, dafür gibt es ja Wartungsfenster. Sollte sich OPNsense als VM im laufenden Betrieb als unpraktikabel erweisen, wird auf eine Appliance umgestellt.

Was könnte man für 300,- als Appliance beschaffen. Sollte natürlich auch was taugen. Dachte da wenn, an eine N150 Firewall Micro Appliance, Mini PC, Nano Computer, Router Compatiable with Pfsense OPNsense 16G RAM 256G SSD, 4*i226-V RJ45 Console AES-NI

Grüße

Als Appliance würde ich ein Gerät von https://www.thomas-krenn.com/ nehmen. Da kannst du dir auch etwas Hardwaresupport dazunehmen, im Businesumfeld nicht immer uninteresant.

Ich würde einen Testaufbau mit einem PC nach Anleitung deines ISPs vorschlagen um zu sehen ob der Internetzugang wirklich funktioniert.

[PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2]

Um mein Ziel* zu erreichen hatte ich folgendes gemacht. Vielleicht hat jemand noch einen Tipp oder kann bestätigen, es möglichst richtig gemacht zu haben :-)

PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2
*
PC1 hat ein Datenverzeichnis (Windows Freigabe)
PC2 ist der einzige PC welcher auf die Daten zugreifen darf (Datenaustausch)
PC1 soll im Datenverkehr maximal eingeschränkt werden.

Firewall: Rules: LAN
Ich habe alle Regeln gelöscht, somit wird automatisch alles geblockt. PC1 kann keine Verbindung mehr aufbauen.

Firewall: Rules: WAN
Source: IP-PC2
Destination: IP-PC1
Port: 443
Description: Datenzugriff Windowsfreigabe

Source: IP-PC2
Destination: IP-PC1
Port: 445
Description: Datenzugriff Windowsfreigabe

optional:
Source: IP-PC2
Destination: IP-OPNsense
Port: 443
Description: Zugriff auf OPNsense Web

Frage
Sehe ich mir den Live Log vom "WAN" anschauen, herrscht hier auch ein reger Datenaustausch. Welche der "Automatically generated rules" sind denn wirklich notwendig (für mein Szenario).
Firewall: Rules: WAN

So kann man es machen um die Firerwall etwas zu verstehen. Allerdings ist es nicht "best practic" die Firerwall von der WAN-Seite her zu Administrieren. Von den "Automatically generated rules" lass erst mal die Finger, den die sorgen dafür das du dich nicht aus der Administrationsoberfläche aussperst und auch verschiedene Netzwerkprotokollvorgaben oder Plugin-bedarfe beachtet werden. Wenn du dich weiter mit der Opensense beschäftige möchtes kann ich dir das Buch "Der OPNsense-Praktiker" von markus Stubbig empfehlen. Da gibt es von Zeit zu Zeit eine Neuauflage.

Du musst auch den Zugriff auf dein Transfehrnetz unter AllowedIPs erlauben. Sieht dann so aus:
[Interface]
PrivateKey = aJf28BZT1....
Address = 10.10.10.6/32

[Peer]
PublicKey = GpFDl.....
PresharedKey = jecBb....
AllowedIPs = 192.168.1.0/24, 10.10.10.0/24
Endpoint = XXX.XXX.XXX.XXX:51820

Könnte es sein das du in deiner Beschreibung LAN und WAN der OpenSense auf deinen MiniPC vertauscht hast? So wie ich es verstehe ist deine Fritzbox das Gateway zum Internet?
Der Hinweis von Viragomann ist auch wichtig.

Mit einem vServer wird das wohl eher schwierig... Virtualisierung per Proxmox auf einem Virtualisierungshost? Ich meinte schon einen echten Root-Server.

das war auch nicht mein Gedanke, sondern ich habe das ganze von seinem Ziel her betrachtet, einen neuen Server aufzusetzen. Weil er schreibt ja "@JeGr: Das Ziel ist, ein total vermurkstes WordPress-Hosting zu umgehen" Das muss ich ja nicht zwangsweise hinter Hetzner-Host, Promox, Opensense, Reverse-Proxy machen.

Bisher hast du deiner Opensens nur gesagt, das max.350 Mbit/s raus gehen sollen, egal bei welchen Datenpaket.
Wenn du dich jetzt noch in Queues und Rules einliest kannst du deinem VOIP Paket eine höere Priorität als deinem normalen Datenverkehr und dem Backup die niedrigste Priorität geben. Dann werden VOIP-Pakete immer bevorzugt und danach die restliche Bandbreite an normalen Datenverkehr und Backup aufgeteilt. Wenn der höhere Datenverkehr nicht da ist, dann bekommen die niedrigen Klassen die Bandbreite.
So habe ich es verstanden, man möge mich koriegieren wenn ich falsch liege.

Läuft auf den Promox Server 2 ein Fileserver oder was anders für deinen MAC? Kannst du das virtuelle Gerät evt. in das 10.0.1.x Netz bringen? Evt durch eine zusätzliche Netzwerkkarte?

Laut dem Manual von deinem  Switch kann der nicht viel routen, schau dir mal im SwitchManual die Kapitel IPv4 Routing Tabel und Static Routing an.

Hallo Awado,

der letzte Vorschlag von Mergu  mit einem neuen vServer ist wohl besser als die vorhandene Installation auszudünnen. Vor allem kannst du zuerst mit dem Billgsten vServer bei Hetzner starten und dann nach Bedarf upgraden.

Aus deiner Beschreibung ist mir der Sinn des 3 Switches nicht ganz klar. Du kannst doch über den neuen Kabelkanal 2 Leitungen zwischen Opensense und deinem bestehenden Switch legen.
Da dein Powerline laut deiner Beschreibung nach schwach ist,  besprich doch mit deinem Hauselektriker ob der Einbau eines Pasekopplers nicht die bessere Investition wäre. z.B. https://shop.allnet.de/ALLNET-ALL16881-Powerline-Phasenkoppler-Signalbruecke-3-Pha/112411

Schau mal auf deinem Laptop welche IP-Adressen dieser hat. Vieleicht kommst du auf die Ursache, warum du trotz deaktivierter "Any" Regeln Internet hatst.
Du kannst auch Testen die Firerwall ganz abzuschalten, weil wenn dein Aufbau deiner Zeichnung entspricht, dann darf kein Internetverbindung mehr da sein.
Ansonsten kann ich dir nur das Buch " Der Opensense-Praktiker" von Markus Stubbig empfehlen.